问题标签 [lockout]

我正在使用 Acunetix 运行网络扫描，并且扫描不断报告“登录页面密码猜测攻击”的两个警报。我们的应用程序是用 ASP.NET 构建的，为了应对这种安全警报，我实现了 ASP.Identity 提供的帐户锁定。它的工作原理：如果用户输入错误的密码五次，帐户将被锁定 5 分钟。

但是 Acunetix 扫描后仍然报告登录页面密码猜测攻击，并告诉我我们的登录页面没有任何保护。我不明白，为什么会出现这个警报？5 次尝试后锁定 5 分钟的帐户是否不是足够好的安全措施？

在使用 patator ldap_login 对 ldap 服务器进行暴力破解测试期间，我发现测试帐户在绕过允许的登录尝试限制后被锁定。使用此工具，攻击者可以锁定公司中的所有帐户，防止此类锁定的最佳方法是什么？

我想知道 Postgres 是否有在几次未经授权的登录尝试后锁定特定数据库用户的策略。

我需要在我的 login 中添加 toomanyloginattempts 的功能。现在它不工作了。我正在使用 Laravel 框架 5.1.45 (LTS)。我使用的代码如下所述。我的控制器功能是

我的查看页面如下

我正在尝试为锁定的帐户设置特定的代码错误，因此我将 ppolicy 的属性 olcPPolicyUseLockout 设置为 true，但我仍然有相同的代码错误 49，而不是锁定帐户的特定错误。还有什么我应该做的我想念的吗？有人有同样的问题吗？

我安装了django-axes它，它允许您设置一个 url，以便在 5 次登录失败时重定向到。我根据文档将此行添加到settings.py：

然后我将此行添加到users/urls.py：

当我在登录屏幕中输入 5 个不正确的用户名/密码组合时，它会尝试重定向我，但我收到此错误：

我正在构建 Django 应用程序并使用 django restframework simplejwt 实现登录功能。
现在尝试添加功能以在多次错误登录尝试后锁定用户。

许多人建议使用 django-axes 包，但它仅适用于 Django 的默认身份验证后端，不适用于 simplejwt 的视图。

任何现有的 python 包对此有帮助吗？不然怎么用simplejwt实现这样的功能呢？

我有一个 Jboss 应用程序，它利用 JbossWebRealm 插入自定义用户锁定机制。如何在 Wildfly 和 legacy-jaas-config 中实现用户锁定机制？

我在这里看到了答案https://groups.google.com/g/wildfly/c/FKWxtLZ-_Tg/m/zw4JiyfcDgAJ，但这并没有达到目的，因为我有一个用于身份验证的 legacy-jaas-config 不能被自定义安全领域所取代，而不是我正在寻找两者兼而有之的东西。

当我这样做时

当我使用ldapcontext.search(_,_,returnedAttsList). 我得到lockoutTime但没有得到lockoutDuration。我lockoutDuration在默认应用策略中设置。